每年HW演习中,弱密码贡献了多少扣分?
责编:gltian |2025-04-16 16:03:32就在每年 HW 结束之后,没错是之后不是之前,网络安全行业里的众多朋友,有甲方,也有乙方,都会纷纷找到我,告诉我自己某个系统被攻击队打穿了,手段朴素至极,利用的就是开放到公网的某个系统的用户弱密码。
如果你以为朋友们是想亡羊补牢,采取合理且积极的手段去彻底治理这个风险,那你就大错特错了。大家只是需要一个向上汇报的材料,去跟老板讲“我们接下来可以怎么做”、“我们应该这么做来解决这个风险”。然后,事情就闭环且完结了,一切都没有任何改变,来年继续在同一个地方栽跟头,当然可能只是在攻防对抗中被扣掉 1 分 2 分,无伤大雅。
时间就在历史的不断重复中,缓缓向前推进。
01 强密码,本身就是违背人性的
作为安全从业者,我们十分擅长为用户制定安全的密码规则,从密码的构成到强制更新的周期设定,再到复杂的多因子认证,我们如数家珍。
抛去安全从业者自嗨,我们也得承认,这些真的是没啥人性的规则,凡是逆人性之事,必遭受人性的敷衍和对抗。
因此我们会看到,虽然强制要求 90 天更换密码,但员工采取”规律性递增”(如 Password01→Password02)的方式应付,反而降低了账户安全性。根据 Verizon 数据报告,此类”伪强密码”在泄露事件中的占比从 2019 年的 17% 升至 2023 年的 29%;我们也会看到,28% 的高管存在多个系统共用同一密码的情况。这种普遍存在的”安全惰性”,使得企业制定的 16 位混合字符密码策略形同虚设。
上有政策,下有对策,人性的懒惰,就是弱密码的永久温床。
02 越容易被验证的地方,越不安全
企业密码管理存在明显的”二八悖论”,80% 的防御预算投入在应对高级威胁,却放任 20% 的基础安全漏洞持续存在。企业投入大量资源构建防火墙、部署入侵检测系统、升级威胁情报能力,却常常在一个看似简单的问题上”翻车”,弱密码。这个被反复提及却始终未被根治的漏洞,成为攻击者撬开企业安全防线的万能钥匙。
为什么会出现这样的现象,作者看来主要是有以下几个缘由:
- 1、利益平衡:假设安全防线失守,弱密码此等问题引发不了灾难级别的事故,风险结果可承受。同样的道理,如果企业卖数据可以赚 1000 万,政府罚款 200 万,那么这事就无法禁止;如果银行安全建设要全部合规,成本也是 1000 万,但银保监罚款才 200 万,那么就有银行选择对风险视而不见;如果金融放贷公司,将利息层层包装为高额服务费,只会招来政府批评和要求整改,那他们就会不停想办法把利息包装成保险、理财产品等等。哎,又扯远了,天下熙熙皆为利来,天下攘攘皆为利往。
- 2、瓜田不纳履,李下不正冠:经过瓜田,不可弯腰提鞋;经过李树下不要举起手来整理帽子,避开易被质疑的情境。怎么理解,企业老板很难懂得网络渗透的技术,无法演说防火墙的话术,更难以猜测黑客的手腕,但他真懂什么是应用账号啊。企业 IT 或者安全团队,将重兵和预算用在防火墙、蜜罐、APT 这些事物上面,老板难以评价,更无法验证有效性,安全团队的工作反而变得简单。但如果花在应用账号治理上,难免被老板指点江山(他以为他懂),且效果好不好过于容易被验证,这与职场人来讲极度缺少了辩解的空间,不利也。
- 3、需要过多安全之外的协同:应用系统非安全团队开发,如何改;并非上个产品功能,或者买个安全软件就能搞定的事,太难;老板只听方案,不批预算,神仙来了也得叹息。
03 破局密码困局的一个路径,消灭密码
人们倾向于选择阻力最小的道路来完成任务,当安全措施增加了工作的难度时,他们会寻找绕过这些障碍的方法,从而导致潜在的安全风险。
传统基于账号和密码的身份验证方式存在固有的弱点。即使用户选择了强密码,并定期更换,也无法完全避免被钓鱼网站或恶意软件捕获的风险。当涉及到复杂的密码管理和多平台的账户时,用户体验也会变得非常糟糕,导致很多用户选择更容易记住但也更不安全的简单密码,或是重复使用相同的密码。
因此,一个激进但可能最有效的解决方案是, 彻底消除账号密码机制,或者不让员工掌握应用的账号密码,这样即使遇到了钓鱼网站,也能达到防止被钓鱼的事情发生,这或许能从根本上解决弱密码攻击的问题。
怎么做,看看这样的效果,同理通过数影办公浏览器可以托管任意 Web 应用账号密码,并实现应用自动登录,在无需应用系统任何改造的前提下,消灭密码。
大致的效果,就像阿里云账号在数影浏览器内被托管和自动登录这般。
且慢!我知道您有可能已经开始快速运转您聪明的脑袋了,认为通过开发者模式、浏览器远程调试、流量抓包、Cookie 缓存,都可以轻易把密码给还原出来,因此给这整个方案贴上一个“弱安全”的标签,对此我的建议是:
Try it before you judge it.